Pour les hébergeurs, les attaques DDoS sont une menace constante.
Dans un post de blog publié mardi, les équipes d’OvhCloud expliquent ainsi avoir constaté une recrudescence d’attaques DDoS de grande ampleur depuis le début d’année 2023.
Recrudescence des attaques
Selon l’hébergeur, la fréquence de ces attaques a connu une recrudescence à partir du mois de novembre 2023, avec des attaques observées montant jusqu’à 2,5 Tbps.
Pour donner un ordre de grandeur, les équipes d’OvhCloud rappellent qu’en 2016, les premiers botnets Mirai basés sur des objets connectés parvenaient dans de rares cas à dépasser le volume de 1Tbps. Certains botnets étaient parvenus à générer des volumes de trafic malveillant supérieurs, mais ces phénomènes restaient très rares.
Attaques dites « packet rates attacks »
Depuis quelques mois en revanche, les équipes de la société constatent que celles-ci sont bien plus fréquentes. « Nous sommes passés d’attaques supérieures à 1 Tbps assez rares, puis hebdomadaires, à presque quotidiennes (en moyenne sur une semaine). » Ce phénomène semble néanmoins avoir été ralenti par le démantèlement du botnet 911S5 à la fin du mois de mai. L’administrateur a été arrêté par les autorités américaines.
A l’origine de cette recrudescence, l’hébergeur met le doigt sur la popularité croissante des attaques dites « packet rates attacks » ou attaques à haut taux de paquets. En résumé, il ne s’agit plus ici d’inonder le lien de connexion des serveurs visés. L’idée est d’inonder les équipements réseaux placés devant les serveurs applicatifs. Il peut s’agir de dispositif d’équilibrage de la charge, voire même d’équipements anti-DDoS.
Viser les systèmes anti-DDoS
Pour y parvenir, les attaquants s’appuient sur un très grand nombre de paquets réseaux envoyés vers la cible. De quoi excéder les capacités de calcul de ces équipements.
C’est en cela qu’il s’agit d’une approche différente des attaques traditionnelles, qui s’appuient sur des paquets volumineux. Comme dans le cas d’attaques dites par réflexion, qui saturent la connexion réseau. « Plutôt que de trouver des failles dans les systèmes anti-DDoS, mieux vaut les viser directement » résume OvhCloud.
Pour mesurer le volume de ces nouvelles attaques, les défenseurs utilisent l’unité du nombre de paquets par secondes. OvhCloud dit avoir été visé par une attaque au mois d’avril 2024 avoisinant les 840 millions de paquets par seconde. Soit un chiffre supérieur au précédent record signalé par la société Akamai en 2021, qui s’établissait alors à 809 millions de paquets par seconde.
Des routeurs exposés
A l’origine de ces attaques, OvhCloud explique avoir identifié plusieurs routeurs de la marque Mikrotik utilisant des versions datées du logiciel d’exploitation RouterOS. Ces appareils, fréquemment utilisés en cœur de réseau, disposent de fonctionnalités permettant de réaliser des tests de bande passante. Ils génèrent donc nativement un grand volume de paquets.
Les équipes d’OvhCloud soupçonnent donc que des acteurs malveillants soient parvenus installer sur ces nombreux routeurs un logiciel malveillant. De quoi leur permettre d’utiliser ces appareils pour mener des attaques DDoS de grande ampleur. Plus de 10 000 appareils de ce type sont exposés sur Internet, dont une bonne partie fonctionne sur des versions anciennes du système d’exploitation.
Ce n’est pas la première fois que les routeurs MikroTik sont utilisés dans des botnets de ce type. Le Botnet Meris avait notamment exploité ces appareils. Mais on les a également retrouvés au sein du botnet Trickbot, ou encore utilisés pour miner de la cryptomonnaie.
OvhCloud dit avoir communiqué ses informations auprès du fabricant des appareils. Sans réponse pour l’heure.